Portas VTY seguras com uma ACL IPv4 padrão
Portas VTY seguras com uma ACL IPv4 padrão

Portas VTY Seguras com uma ACL IPv4 Padrão

[note note_color=”#21ab5136″ text_color=”#2c2c2d” radius=”3″ class=”” id=””]Bem-vindo: este tópico faz parte do Capítulo 14 do curso Cisco CCNA 3, para um melhor acompanhamento do curso você pode ir para a seção CCNA 2 para orientá-lo durante um pedido.[/note]

O Comando da classe de acesso

ACLs normalmente filtram o tráfego de entrada ou saída em uma interface. No entanto, uma ACL também pode ser usada para proteger o acesso administrativo remoto a um dispositivo usando as linhas vty.

Use as duas etapas a seguir para proteger o acesso administrativo remoto às linhas vty:

  • Crie uma ACL para identificar quais hosts administrativos devem ter acesso remoto.
  • Aplique a ACL ao tráfego de entrada nas linhas vty.

Use o seguinte comando para aplicar uma ACL às linhas vty:

R1(config-line)# access-class {access-list-number | access-list-name} { in | out }

A palavra-chave in é a opção mais comumente usada para filtrar o tráfego vty de entrada.
O parâmetro out filtra o tráfego vty de saída e raramente é aplicado.

O seguinte deve ser considerado ao configurar listas de acesso em linhas vty:

  • Tanto as listas de acesso nomeadas quanto as numeradas podem ser aplicadas às linhas vty.
  • Restrições idênticas devem ser definidas em todas as linhas vty, porque um usuário pode tentar se conectar a qualquer uma delas.

Exemplo de acesso VTY seguro

A topologia na figura é usada para demonstrar como configurar uma ACL para filtrar o tráfego vty. Neste exemplo, apenas PC1 terá permissão para fazer Telnet em R1.

Nota: Telnet é usado aqui apenas para fins de demonstração. O SSH deve ser usado em um ambiente de produção.

Exemplo de acesso VTY seguro

Para aumentar o acesso seguro, um nome de usuário e uma senha serão criados e o método de autenticação  login local será usado nas linhas vty. O comando no exemplo cria uma entrada de banco de dados local de usuário ADMIN e senha class.

Uma ACL padrão nomeada chamada ADMIN-HOST é criada e identifica PC1. Observe que o deny any foi configurado para rastrear o número de vezes que o acesso foi negado.

As linhas vty são configuradas para usar o banco de dados local para autenticação, permitir o tráfego Telnet e usar a ACL ADMIN-HOST para restringir o tráfego.

R1(config)# username ADMIN secret class
R1(config)# ip access-list standard ADMIN-HOST
R1(config-std-nacl)# remark This ACL secures incoming vty lines
R1(config-std-nacl)# permit 192.168.10.10
R1(config-std-nacl)# deny any
R1(config-std-nacl)# exit
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input telnet
R1(config-line)# access-class ADMIN-HOST in
R1(config-line)# end
R1#

Em um ambiente de produção, você definiria as linhas vty para permitir apenas SSH, conforme mostrado no exemplo.

R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# access-class ADMIN-HOST in
R1(config-line)# end
R1#

Verifique se a porta VTY está protegida

Depois que a ACL para restringir o acesso às linhas vty for configurada, é importante verificar se ela está funcionando conforme o esperado.

Conforme mostrado na figura, quando PC1 conecta-se a R1, o host será solicitado a fornecer um nome de usuário e uma senha antes de acessar com êxito o prompt de comando.

PC1 Telnets para R1

Isso verifica se o PC1 pode acessar R1 para fins administrativos.

A seguir, testamos a conexão do PC2. Conforme mostrado nesta figura, quando o PC2 tenta fazer o Telnet, a conexão é recusada.

A conexão Telnet foi recusada

Para verificar as estatísticas de ACL, emita o comando show access-lists. Observe a mensagem informativa exibida no console sobre o usuário administrador. Uma mensagem informativa do console também é gerada quando um usuário sai da linha vty.

A correspondência na linha de permissão da saída é o resultado de uma conexão Telnet bem-sucedida por PC1. A correspondência na declaração de negação se deve à tentativa fracassada de criar uma conexão Telnet por PC2, um dispositivo na rede 192.168.11.0/24.

R1#
Oct  9 15:11:19.544: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: admin] [Source: 192.168.10.10] [localport: 23] at 15:11:19 UTC Wed Oct 9 2019
R1# show access-lists
Standard IP access list ADMIN-HOST
    10 permit 192.168.10.10  (2 matches) 
    20 deny   any  (2 matches) 
R1#

Verificador de sintaxe – Proteja as portas VTY

Proteja as linhas vty para acesso administrativo remoto.

Exemplo de acesso VTY seguro

Crie uma entrada de banco de dados local para o nome ADMIN e class secreta.

R1(config)#username ADMIN secret class

Crie uma ACL padrão nomeada chamada ADMIN-HOST.

R1(config)#ip access-list standard ADMIN-HOST

Crie uma licença ACE para o host com o endereço IP 192.168.10.10.

R1(config-std-nacl)#permit host 192.168.10.10

Em seguida, adicione o deny any implícito e retorne ao modo de configuração global.

R1(config-std-nacl)#deny any
R1(config-std-nacl)#exit

Entre no modo de configuração vty para configurar as cinco linhas vty (ou seja, 0 – 4).

R1(config)#line vty 0 4

Use o método de login local para autenticação e permita o tráfego Telnet.

R1(config-line)#login local
R1(config-line)#transport input telnet

Restrinja o acesso de entrada ao PC1 usando apenas o comando access-class e o ACL ADMIN-HOST nomeado e retorne ao modo EXEC privilegiado.

R1(config-line)#access-class ADMIN-HOST in
R1(config-line)#end

PC1 tentou fazer Telnet para R1 e foi bem-sucedido. O PC2 tentou e não teve sucesso. Verifique as estatísticas de ACL para ver se as ACLs estão funcionando conforme o esperado.

R1#show access-lists
Standard IP access list ADMIN-HOST
    10 permit 192.168.10.10 (2 matches)
    20 deny   any (2 matches)

Você modificou com êxito uma ACL numerada IPv4 em R1.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

CCNA: Introdução às RedesCurso